Um ataque informático aos servidores do Hospital Garcia de Orta, em Almada, fez disparar os alertas das autoridades. O ciberataque aconteceu no final de 2016 e foi comunicado pela unidade às entidades competentes, confirmou ao SOL a administração hospitalar. Foi atingido o sistema onde são guardados imagens obtidas em exames médicos como radiografias ou TAC mas a unidade garante que não foram roubados registos de doentes.
Fontes ouvidas pelo SOL afirmam que este é o maior ataque informático registado num hospital do Serviço Nacional de Saúde alguma vez conhecido, isto numa altura em que a Comissão Nacional de Proteção de Dados tem reforçado os alertas para que sejam adotados sistemas mais robustos e com informação encriptada para proteger a privacidade dos cidadãos.
A nível internacional, os serviços de saúde têm sido considerados dos mais vulneráveis a ataques informáticos. Uma análise divulgada no final de 2016 pela TrapX, uma multinacional especialista em ciberataques sediada na Califórnia, revelou que parece estar a aumentar a tendência de encriptar dados para pedir ‘resgates’ pela sua recuperação, os chamados ataques de ransomware. Segundo esta empresa, depois de os vírus inutilizarem os registos, são pedidos pagamentos entre 1,50 e os 10 dólares para as instituições poderem recuperar cada registo perdido. Já o roubo de registos para venda no mercado negro, que durante os últimos anos se pensou ser um dos maiores riscos informáticos, tem estado a diminuir.
Os detalhes do ataque ao Hospital de Almada estão, por agora, no segredo dos deuses. A Procuradoria-Geral da República indicou ao SOL que foi instaurado um inquérito «recentemente», não fornecendo informação suplementar uma vez que o caso se encontra «em investigação e está em segredo de justiça».
Também a unidade recusa prestar mais informações, nomeadamente as medidas tomadas depois do ataque, invocando as investigações em curso. O SOL apurou que ter-se-á tratado de um vírus que inutilizou imagens, das quais não havia backup. Fonte hospitalar adiantou também que nos últimos meses houve reforço das cópias de segurança dos registos na unidade, com os médicos a terem de requisitar mais vezes imagens guardadas em servidores à parte dos que são usados correntemente.
Vigilância reforçada no SNS
A 8 de fevereiro, o Ministério da Saúde publicou um despacho que determinou o reforço da vigilância informática nas entidades do Serviço Nacional de Saúde, em colaboração com o Centro Nacional de Cibersegurança, que em 2014 passou a ser a autoridade nacional em matéria de cibersegurança. Já a partir deste mês, hospitais, centros de saúde e quaisquer outros estabelecimentos públicos de saúde passam a estar obrigados a notificar todos os incidentes de cibersegurança aos Serviços Partilhados do Ministério da Saúde (SPMS). Além disso, todos as unidades têm de designar um responsável pela notificação que passará a ser o ponto de contacto nesta área. No diploma, o Governo justifica a medida com a crescente utilização de meios tecnológicos, que «permitem disponibilizar informação em tempo útil para acesso aos cidadãos e profissionais de saúde, incrementando no entanto, a exposição ao risco». O nível de complexidade, argumenta a tutela, «leva a prever que não seja suficiente adotar mecanismos de proteção e segurança, sendo necessário garantir meios que permitam vigiar em permanência o estado desses mecanismos e (…) otimizá-lo».
Na sequência desta publicação, o SOL solicitou informação sobre os incidentes registados, tendo a SPMS referido apenas ter tido conhecimento de um ciberataque a um hospital do SNS que atingiu o registo de imagens, que comunicou ao Ministério Público, à Polícia Judiciária e ao Centro Nacional de Cibersegurança – ataque que o SOL confirmou ter ocorrido no Garcia de Orta.
O aumento da utilização de meios informáticos no SNS é notório. Há cinco anos, começou a prescrição eletrónica de medicamentos. Desde então, as bases de dados registam, semanalmente, um milhão de receitas. São guardadas num servidor físico no data center da SPMS no Porto. Já no que diz respeito aos ficheiros clínicos e imagens, a SPMS diz não ter ideia da dimensão dos arquivos: cada instituição tem a sua base de dados.
A criação do novo registo nacional oncológico e, mais recentemente, a nova lei da saúde pública, levaram a Comissão Nacional de Proteção de Dados a apelar a soluções tecnológicas com funções criptográficas, tendo em conta o «desenvolvimento tecnológico e os riscos que o mesmo vai renovando e acentuando».